打印本文 打印本文  关闭窗口 关闭窗口  
企业网管员防杀网络病毒经验谈
时间:2006/8/18 12:47:48

随着网络信息技术的发展,企业的日常业务越来越多地和互联网发生着联系。然而,互联网是一把双刃剑,人们在享受互联网带来便利的同时,不得不面对病毒的一轮又一轮进攻。

如果在若干年前,在联网计算机不多,病毒危害不大的情况下,按部就班地一台台机器查杀毒或升级病毒库,显然还在网管员可以忍受的范围内。可如今计算机病毒已经越来越普遍,每天都有好几种新的网络病毒诞生。公司的网络也越来越大,网络病毒一旦爆发可以在几小时内感染公司内部数百台电脑,而且病毒会游走在整个网络内,往往是清除了这台机器的病毒,那台机器又被感染了;解决了那边的问题,这边又开始“造反”。

笔者担任网络管理员并主要负责安全问题已经有好几年了,在工作中积累了防杀网络病毒的丰富经验,今天就和各位读者一起探讨如何有效的防杀网络病毒。

一、网络病毒的分类:

目前流行的网络病毒从类型上分主要有木马病毒和蠕虫病毒。木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监视用户的各种操作,窃取用户QQ,传奇游戏和网上银行的帐号和密码。蠕虫病毒是一种更先进的病毒,他可以通过多种方式进行传播,甚至是利用操作系统和应用程序的漏洞主动进行攻击,每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在该漏洞的计算机后就马上传播出去。

     这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,被蠕虫感染了的计算机也会因为CPU和内存占用过高而接近死机状态。

按照网络病毒的传播途径划分的话又分为邮件型病毒和漏洞性病毒。前者是通过电子邮件进行传播的,病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒,当然有的邮件性病毒利用的是浏览器的漏洞来实现。

      这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容,由于浏览器存在漏洞也会让病毒趁虚而入。漏洞型病毒则更加可怕,大家都知道目前应用最广泛的是WINDOWS操作系统,而WINDOWS系统漏洞非常多,每隔一段时间微软都会发布安全补丁弥补漏洞。

      因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机,例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,他们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。

网络在发展病毒也在发展,现在的病毒已经不是传统意义上的单一病毒了,往往一个病毒载体身兼数职,自身就是文件型,木马型,漏洞型和邮件型的混合体。这样的病毒危害性更大,查杀起来更困难。

二、防范网络病毒的方法:

俗话说“防范于未然”,如何最大限度的将网络病毒阻挡在计算机及内部网络之外呢?笔者根据多年网络安全方面的经验总结了如下几点,如果网络管理员可以在这几方面引起足够重视的话,就可以有效阻止99%的网络病毒的入侵。

第一步:将计算机中的帐户密码设置得复杂些,不要保留空密码或弱口令的帐号,将GUEST帐户禁用,并删除无用的用户。

第二步:及时更新操作系统的漏洞补丁,将WINDOWS UPDATE服务启用。并保证每周均执行补丁安装工作,安装完毕后需要重新启动计算机。因为很多补丁只有在重新启动后才能生效。

第三步:关闭不必要的系统服务,如MESSENGER,REMOTE REGISTRY SERVICE等。关闭无用的共享资源,象系统默认的共享都要关闭,如c$,d$,ipc$,admin$等。

第四步:为本机安装杀毒软件及防火墙,从而有效的防范病毒和黑客的入侵。不要以为安装其中之一就可以大功告成,需要两者兼得才能起到最大的效果。在防火墙上要配置恰当的规则,杀毒软件也要及时更新病毒库。

第五步:所有防范工作完毕之后还要对员工进行安全培训,严格要求员工不随便运行网上下载的可疑程序,不随便执行别人发来的文件,不随便运行电子邮件中的附件。

公司内网中的计算机严格遵照这五步执行后作为网络管理员的你会发现网络病毒的爆发率降低了很多,你的工作量也大大减少了。

三、查杀网络病毒的方法:

俗话说“亡羊补牢尤未迟也”,如果自己的计算机已经感染了网络病毒我们应该如何清除呢?这就需要我们在日常工作中积累经验,自己多动手查杀几次就熟悉了病毒的习性。下面笔者就自己的查杀经验为大家进行总结,希望给读者提供足够的帮助。

1、查找病毒:

其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来,例如机器运行十分缓慢,上不了网,杀毒软件升不了级,WORD文档打不开,电脑反复重启等等,这些都是中毒的征兆。接下来我们就要开始搜索病毒体了。

第一步:按CTRL+SHIFT+ESC键调出WINDOWS任务管理器,查看系统运行的进程,找出不熟悉的进程并记下名称,通过搜索引擎查询判断这些进程是否是病毒产生的,也可以点击任务管理器的性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,电脑中毒的可能性是95%。

第二步:运行注册表编辑器,通过任务栏的“开始->运行->输入regedit”,查看都有哪些程序随WINDOWS的启动而启动。主要看hkey_local_machine\software\microsoft\windows\currentversion\run和runonce等以及hkey_current_user\software\microsoft\windows\currentversion\run和runonce等键值下是否有非法程序加载。

小提示:

在WIN98或XP系统下可以直接通过“开始->运行->msconfig”查看启动项程序。

第三步:查看WINDOWS当前启动的服务项,在“控制面板”的“管理工具”里打开“服务”,查看右边状态为“启动”的行,一般而言正常的WINDOWS服务基本上都有描述内容,双击打开认为有问题的服务项,查看其属性里的可执行文件的路径和名称,假如其路径为c:\winnt\system32\,则很有可能是病毒程序,因为大部分病毒都会将自身主程序复制到该目录下。

第四步:用浏览器上网判断,如果你的计算机可以浏览SOHU,新浪等网站但不能访问诸如www.symantec.com,www.ca.com这样的安全厂商站点的话很有可能是中了网络病毒并被修改了HOSTS文件。

2、清除病毒:

由于计算机感染了网络病毒,所以首先应该将网线从计算机上拔下,断开计算机和网络的连接,防止病毒的二次入侵及再度感染。接着按照以下的方法清除病毒。

第一步:在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并全部删除。当病毒以系统服务的方式启动话还应该在hkey_local_machine\system\controlset001\services和controlset002\services里藏身,找到后全部删除。

第二步:停止所有有问题的服务,启动方式从自动改为禁用。

第三步:如果上文提到的HOSTS文件被篡改,则恢复它本来面目,即只剩下一行有效值“127.0.0.1 localhost”,其余的行全部删除。

第四步:重新启动计算机,按F8进入安全模式,搜索病毒的执行文件,手动将其删除。

第五步:在安全模式下用升级了最新病毒库的杀毒软件对系统进行全面扫描,剿灭漏网之鱼。扫描后就可以重启计算机完成全部查杀网络病毒的操作了。

总结:

至此我们就系统的学习了防范网络病毒,查杀网络病毒的方法,相信读者按照本文介绍的内容可以有效的防杀网络病毒,将网络病毒带来的灾害和损失降低到最低点。当然网络病毒也是在发展的,新病毒层出不穷,我们只有不断补充新的查杀知识,在工作中不断积累实践经验才能在网络管理员与网络病毒的战斗中处于更加有利的地位。